Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
リリースで対処される重大な問題 PAN-OS - Knowledge Base - Palo Alto Networks

リリースで対処される重大な問題 PAN-OS

611042
Created On 09/26/18 21:07 PM - Last Modified 08/11/24 16:46 PM


Symptom


リリースで対処された履歴の重要な問題一覧 PAN-OS

Environment


すべての電流 PAN-OS

Resolution


最終更新日: 7月27日 , 2021


このリストはパロ ・ アルトのネットワークが定める重大問題に限られ、情報目的のみのために提供されます。

  • リリース ノートの情報を再確認して、固定バージョンに関する最新情報を確認してください。
  • 感じるこれらの問題のいずれかが発生した場合、詳細な調査のためサポート プロバイダーにケースを作成してください。
  • メンテナンス リリースは、問題を解決する主なメカニズムです。
  • A メンテナンス リリースは、リリース バージョン番号の 3 桁目で示されます ( PAN-OS たとえば、10.0.2 の .2)。
  • 固定リリースのアスタリスク(*)は、内部チェックに使用されます。無視してください。

 

バグ

影響を受けるプラットフォーム (該当する場合)

/Affected バージョン

説明 (リリースノート)影響

根本的な原因

回避 策

固定リリース

PAN-16380010.1.0トラフィックに一致するセキュリティ ルールにスパイウェア対策プロファイルが存在すると、 policy DNS 応答が DNS 転送中に不正な形式になるという断続的な問題を修正しました。DNS 応答が壊れていますライセンスチェックと修正のコード TTL には DNS 、応答を処理するバグがありましたプロファイルを含むスパイウェア対策を削除する dns security10.1.1*
PAN-1462509.0.0-9.0.13
9.1.0-9.1.9
2 つの別々の同時セッションで、同じソフトウェア パケット バッファが所有され、処理される問題を修正しました。DP クラッシュvsys 間のシナリオでは、同じ sw パケット バッファを 2 つの異なるセッションで同時に処理でき、問題が発生します。使用する代わりに IPsec VPN を使用する SSL9.0.14,9.1.10*
PAN-1560179.1.0-9.1.6, 10.0.0-10.0.2ホスト情報プロファイル ( HIP ) レポート バッファがメモリ XML リークを引き起こした問題を修正しましたメモリ不足 MPHIP メモリ リークの原因となったメッセージが送信された後、レポート バッファが解放されませんでしたhip再配布を無効にする9.1.7,10.0.3
PAN-156225

PA-3200 シリーズ
/
8.1.0-8.1.18, 9.1.0-9.1.8 ,10.0.0-10.0.4

B PA-3200 9.1.4 から 9.1.5 へのアップグレード後に、シリーズの HA1 ポートがダウンしたままの問題を修正しました。HA1- B リンクダウン関連する Sysd ノードを取得できませんでしたなし8.1.19,9.1.9,10.0.5*
PAN-1363478.1.0-8.1.18, 9.1.0-9.1.8 , 10.0.0-10.0.4DNS TCP プロキシ接続が正しく処理されず、プロセス ('dnsproxy') が応答を停止する問題を修正しました。dnspropyd クラッシュ / 高 CPUデーモンのtcp_wait_timerが正しくクリアされませんでした回避策は TCP 、安全にプロキシされた要求での能力の問題を回避するために、DNSproxyデーモンを介して接続を無効に TCP することです。8.1.19, 9.1.9,10.0.5,*
PAN-1508528.1.0-8.1.18 ,9.0.0-9.0.12 ,9.1.0-9.1.6 ,10.0.0-10.0.4SMTP添付ファイル名が割り当てられたバッファよりも長い場合に発生した問題を修正しました。 ファイル名がバッファより長く、レイヤ 7 インスペクションが有効になっている場合、ファイルがドロップされ、セッション エラーが発生し、電子メールが送信されませんでした。DP クラッシュ/ SMTP パケットドロップSMTPマルチパートファイル名の処理時のバッファ処理の問題なし8.1.19
9.0.13
9.1.7
10.0.5
PAN-1434858.1.0-8.1.18, 9.0.0-9.0.12 , 9.1.0-9.1.6, 10.0.0-10.0.4プロセス (*devsrvr*) に関連するメモリ リークの問題を修正しました。デバイス サーバーのメモリ リーク複数のリーク URL (confg、など)が修正されていますデバイス メモリが使い果たされる前に devsrvr を再起動する9.0.13,9.1.8,10.0.0
PAN-1568919.1.0-9.1.7
10.0.0-10.0.4
一部の zip ファイルがダウンロードされず、次のエラーメッセージが表示される問題を修正しました: 'リソースを使用できません'L7 機能は、「リソースを使用できません」エラーが発生したときに動作しません。デコーダ バッファは、L7 処理で多数のループを通過します。 最大制限に達します。

"deviceconfig 設定セッションリソース制限動作バイパスを設定する"は、エラーをヒットするセッションをバイパスするのに役立ちます。

技術的には、それは一般的に起こります。しかし、 ALPN 復号プロファイルの「ストリップ」は、http2のデコードによって引き起こされた場合に問題を解決することがあります。

hardware"dfa を無効にする" は、ループの数を減らすのに役立つため、回避策として使用できます。これは、次のコマンドで行うことができます

debug dataplane fpga set sw_aho yes
debug dataplane fpga set sw_dfa yes
9.1.8
10.0.5
PAN-145417

9.0.0-9.0.12
9.1.0-9.1.7
10.0.0-10.0.3

デバッグ コマンドは、 firewall Cortex オンライン証明書状態プロトコル ( OCSP ) メッセージが応答の 'nextUpdate' 値を欠いているため、Data Lake への接続が原因で発生する問題に対処するために追加されました OCSP 。sslmgr メモリ リークが原因で問題が発生しました。 OCSP失敗 OCSP したクエリは、長時間キャッシュされます。 それは、sslmgrの正常な動作に影響を与え、そのメモリ使用量が上がるsslmgr プロセスの再始動9.0.13,9.1.8,10.0.4
PAN-1492979.1.0-9.1.6
10.0.0-10.0.1
管理サーバーでバッファ オーバーフローの問題が発生し、管理者が Web インターフェイスにログアウトすることを余儀なくされる問題を修正しました。管理サーバーのクラッシュ内部 db のクローズ呼び出しがありません複数の検証コミットを行わない、コミットオール9.1.7,10.0.2
PAN-153673

技術的にはすべての FW プラットフォームが影響を受ける可能性がありますが、PA5200、PA7000series
8.15-8.17 9.17
9.0.9-9.0.10
9.10.10.0.0-10.0.1からの報告のみが表示されます。

データプレーンからのログの読み取りが遅くなる原因となるスレッドタイムアウトのために、トラフィックログが表示されない問題を修正しました。断続的にログが停止するメインスレッドはキャッシュの経過時間を過ごしてビジー状態で、リンクからのログの読み取りが DP 大幅に遅くなります。なし8.1.18, 9.0.11, 9.1.6, 10.0.2
PAN-1521068.1.14-8.1.16
9.0.8-9.0.10
9.1.0-9.1.5
10.0.0-10.0.1
プロセス (*genindex.sh*) によって、管理プレーンの使用率が CPU 予想よりも長い期間高い状態を維持する問題を修正しました。高 MP CPUスクリプトはログディレクトリを集中的に検索します[ログの種類] の [最大日数] を構成して、保存日数を減らしてインデックス作成するログの量を減らします。8.1.17, 9.0.11, 9.1.6,10.0.2
PAN-154181Panorama
8.1.16
 
Panorama firewall マネージ実行 8.1.16 の Web インターフェイスにコンテキスト切り替えが機能しない問題を修正 PAN-OS しました。コンテキストスイッチが不可能A バグ修正によりコンテキスト切り替えが機能できないなし8.1.17
PAN-1511979.1.3
10.0.0
管理者が Active Directory ( ) アカウントで認証を受けたときに、プロセス (*authd*) が再起動 firewall する問題を修正 AD しました。 この問題 LDAP は、 FQDN DHCP 静的管理アドレスの代わりに を使用して構成 IP され、管理インターフェイスを使用してサーバーに接続したときに発生 LDAP しました。認証済みクラッシュmgmt を DHCP 割り当てた境界ケース IPサービス工順の使用 LDAP9.0.10, 9.1.4, 10.0.1
PAN-1412219.0.0-9.0.9
9.1.0-9.1.2
エラーのあるコミットまたはコンテンツの更新操作がデータプレーンで実行されなく、データプレーンキャッシュの破損が発生する問題を修正しました policy 。DP クラッシュ- DP config コミットで phase1 解析エラーが発生した場合、中止シグナルが正しくクリーンアップされなかったので、 policy キャッシュが破損しています
構成がエラーにならないようにしてください。 DP
9.0.10, 9.1.3
PAN-1445988.1.0-8.1.15

9.0.0-9.0.9.1.0-9.1.2
データプレーンの空きメモリが使い果たされ、新しい接続に影響を与えた問題 GlobalProtect を修正しました。 firewallGP 接続エラーURLクライアントレス アクセス中にデータ構造が解放されない VPN app 。違います8.1.16, 9.0.10, 9.1.3
PAN-1501728.1.15,9.0.9,9.1.3転送プロキシが有効になっているサーバ証明書の'NotBefore' 属性が Unix エポックタイム以下の Web サイトにアクセスしようとしたときに、データプレーンプロセスが再起動する問題を修正しました。DP 証明書の解析時に再起動'NotBefore' 値が正しく初期化されませんでした1)サーバーの発行者 CA を信頼 firewall 済みとしてマークする OR
、2)NotBefore <= 1970/1/1 00:00:00 UTC
Thisは実用的な解決策ではないこれらのサーバーへの復号化を無効にする
8.1.15-h3, 8.1.16, 9.0.9-h1, 9.0.10, 9.1.3-h1, 9.1.4,
PAN-1373878.1.0-8.1.14
9.0.0-9.0.8
9.1.0-9.1.2
URLフィルタリングで IP ホスト名ではなくアドレスが使用され、誤った分類が発生する問題を修正 URL しました。ホスト ヘッダー処理の問題が URL 原因でフィルター機能ホスト ヘッダーが 1 番目のパケットに入らない場合の処理を見逃すジャンボフレームを有効にするか、カスタムurlカテゴリまたはカスタムappidを使用して文字列"/webapp/wcs/stores/"を検出します。8.1.15, 9.0.9, 9.1.3
PAN-1480688.1.0-8.1.14
9.0.0-9.0.8
9.1.0-9.1.2
SSL証明書の期限切れのセッションをブロックするオプションを使用して復号化を有効にした場合に接続がブロックされる問題を修正しました。 この問題には、証明書チェーン内の期限切れの AddTrust 証明機関 ( CA ) を送信したサーバーが含まれていました。SSL 一部のサイトで復号化が失敗する固定 SSL 証明書検証プロセス証明書の有効期限チェックを無効にします。
(有効期限チェックが許容できない場合)
8.1.15, 9.0.9, 9.1.3
PAN-103290PA3200シリーズ
8.1.14のみ
数時間の firewall 稼働時間が経過した後に.log dp-monitorでデータプレーン診断データの記録が停止する問題を修正しました。DP クラッシュハンド時の日1日の問題クラッシュ回避策なし8.1.15
PAN-139587PA5200,PA7000シリーズ
8.1.0-8.14
9.0.0-9.0.8
9.1.0-9.1.4
CPU複数のトンネルで IPSec カプセル化セキュリティ ペイロード ( ) の再キー設定が発生した後に、データ プレーンで高い使用率と継続的 ESP な使用率が発生する問題を修正しました。高 CPU /高パケット記述子ESP 問題のキーを再設定するフェールオーバー後、障害をリブートする FW8.1.15, 9.0.9 , 9.1.4
PAN-1444798.1.14 のみクエリを実行 SNMP HOST-RESOURCES-MIB したときに、返された値のオブジェクトが正しくない問題を修正しました。特定の snmp MIB が機能しないSNMP修正の回帰回避策なし8.1.15
PAN-136701PA7000シリーズ
9.0.0-9.0.7
9.1.0-9.1.1
CLI予測セッションを処理する際に新しいセッションのパケットがドロップされる問題に対処するための次のコマンドを追加しました:
- 'セッション hwpredict 無効を無効にする'
- 'セッション hwpredict ステータスを表示'
セッションの照合を予測するパケットドロップ追加された回避策コマンドをクリックして、 での検索 FPP-HW の予測を無効にし、 FPP-SW を使用します。 これは、操作コマンドを使用して制御されます。9.0.8, 9.1.2
PAN-121626

PA3200シリーズ
8.1.0-8.1.13
9.0.0-9.0.6
9.1.0-9.1.1

ファイアウォールがパケットを廃棄し、トラフィック遅延、ファイル転送の速度低下、スループットの低下、内部パスの監視エラー、アプリケーション障害などの問題が発生する断続的な問題を修正しました。交通問題メモリタイミングの問題回避策なし8.1.14,9.0.7,9.1.2
PAN-125534PA5200,PA7000シリーズ
8.1.0-8.1.13
9.0.0-9.0.7

 
クラウドまたはアプライアンスへのアップロード中にファイアウォールで高いパケット記述子(オンチップ)の使用が発生する問題を修正 WildFire WF-500 しました。過剰 WF なアップロードにより、高いパケット記述子が発生しました過剰 WF なアップロードは、プラットフォームのリソースを圧迫します。

未処理のアップロードの最大数 WF を制限する

[デバイス>の設定] WildFire >[ファイル サイズの制限] >>全般設定
を構成して、ファイル サイズ制限に対して次の推奨値を指定 WildFire します。

- pe 8 MB
- apk 10 MB
- pdf 500 - KB
ms-office 500 KB
- jar 5 - フラッシュ 5 - MB
MB
MacOSX 1 MB
- アーカイブ 10 MB
- linux 10 - スクリプト MB
20 KB

8.1.14,9.0.8,9.1.2
PAN-135260PA7000シリーズのみ
8.1.12
IPSec トンネル トラフィックの処理中にネットワーク 処理カード ( ) のデータプレーン プロセス (*all_pktproc_X*) NPC が再起動する断続的な問題を修正しました。DP クラッシュフローの参照中にクラッシュ
検証コードを追加しました
回避策なし8.1.13,9.0.7,9.1.2
PAN-1368208.1.0-8.1.13HA**System** ログに次のエラー メッセージが報告された後に高可用性 ( ) フェールオーバーが発生した問題 firewall を修正しました: 'Dataplane down: コントロールプレーン出口障害'。DP クラッシュ/ダウン
内部パスモニタが失敗する
NFS DP
微調整オプションの転送の NFS 問題
回避策なし8.1.14,9.0.0
PAN-102096PA7000シリーズ
8.1.0-8.1.12
最初のパケット プロセッサパケット バッファが適切なアライメントで割り当てられていないため、メモリが破損する問題を修正しました。内部パス モニタの障害 、 FPP クラッシュメモリ破損の可能性 FPP回避策なし8.1.13
PAN-133440PA5200,PA7000シリーズ
8.1.8-8.1.12
9.0,9.1
トラフィックが断片化され、データプレーンの使用とパフォーマンスの問題が発生する問題を修正 firewall しました。高 CPU /高パケットバッファフラグメントの再構成問題ゾーン保護を介してフラグメントをブロックすることを検討してください。8.1.13,9.0.7,9.1.2
PAN-131993Panorama シリーズ
8.1.11-8.1.12
9.0,9.1
ログクエリの実行中にプロセス(*reportd*)がクラッシュする問題を修正しました。報告されたクラッシュログクエリの処理時にクリーンアップを試みている間にダブルフリータブ/ブラウザを閉じる前にクエリを実行して完了にする8.1.13,9.0.7,9.1.2
PAN-115875LFC(PA7000)
9.0.0-9.0.5
PA- HA サイズの大きいパケット トラフィックがログ フォワーディング カード( ) のフロント パネル ポートに影響を与えたときに 7080b ペアがリブートする問題を修正 LFC しました。LFC 再起動LFC ジャンボ フレーム受信時のフロント ポート エラー処理エラージャンボ フレームを使用してフロント パネル ポートをネットワークに接続しないようにする9.0.6 および 9.1.0
PAN-1236679.0.0-9.0.5グローバル カウンタのポーリング時に "snmpd" プロセスがクラッシュする問題を修正しました。カーネル内の snmpd クラッシュと OOM (メモリ不足)グローバル カウンタの OID にアクセスするときの snmpd のメモリ リークこのクラッシュを回避する回避策は、グローバル カウンタ テーブルの OID のポーリングを回避することです。9.0.6 および 9.1.0
PAN-123322PA3200,PA5200,PA7000シリーズ
8.1.0-8.1.11
9.0.0-9.0.5
PA-3200""シリーズ PA-5200 、シリーズ、および PA-7000 シリーズのファイアウォールが実行されている PAN-OS "<8.1.11 |="" 9.0.5="">"のみ") プロセス (all_pktproc") が WQE 、重複する子セッションによって発生するワーク クエリ エントリ ( ) の破損が原因で応答を停止する断続的な問題があります。</8.1.11>データプレーンクラッシュ予測セッションでパケットを渡すときにクラッシュするなし8.1.12,9.0.6および9.1.0
PAN-128269PA5200シリーズのみ
8.1.10-8.1.11
9.0.0-9.0.5
" PA-5250 PA-5260 PA-5280 、100 GB ケーブルのみでファイアウォール" ) 高可用性 AOC ( ) 構成の最初のピア HA を PAN-OS "8.1.9-h4 以降" / PAN-OS [9.0] リリースにアップグレードすると、2 番目のピアのアップグレードが完了するまで、高速シャーシ相互接続 ( HSCI ) ポートが FEC 不整合のため起動しません。HSCI インターフェイスダウン内部チップ構成の影響を受ける AOC モジュールアップグレード手順についてはテクニカルサポートに相談し、それ以外の場合はリリースを回避8.1.12,9.0.6および9.1.0
PAN-1244819.0.0-9.0.4セッションの使用時にデータプレーンが応答を停止 SMTP する問題を修正しました。DP クラッシュ/内部パス モニタの障害MIME 境界が誤って計算されるapp- smtp を上書きする9.0.5
PAN-126547

8.1.0-8.1.10
9.0.0-9.0.4

XML APIコミット中に "type=config&action=get" を呼び出したときにプロセス ("configd") が応答しなくなった問題を修正しました。configd クラッシュxml ノードが解放されるときに、NULL がポインターに設定されませんでした定義済みの xpath を取得するために xml api を実行しない8.1.11 および 9.0.5
PAN-120662

PA-7000 シリーズのみ( XM カードは影響を受けません)
8.1.0-8.1.10
9.0.0-9.0.4

["PA-7000 シリーズファイアウォール PA-7000 -20G- NPC カードのみを使用する"]メモリ不足 OOM ()状態でデータプレーンまたは内部パスの監視が応答を停止する断続的な問題を修正しました。DP クラッシュ/内部パス モニタの障害
Linux カーネルに割り当てられたメモリが不足しています
回避策なし8.1.11 および 9.0.4
PAN-119862PA5050 のみ
8.1.0-8.1.11
メモリ不足 ( OOM ) 状態でデータプレーンまたは内部パスの監視が応答を停止する断続的な問題を修正しました。 この修正により、セッション容量は 400,000 に削減されます。DP クラッシュ/内部パス モニタの障害DP0 のメモリ不足回避策なし8.1.11
PAN-1156958.0.x
8.1.0-8.1.9
9.0.0-9.0.3
受信確認が完了する前に多数のパケットを受信し、使用が正常に見えたとしても、記述子キュー エントリが枯渇し、データ転送中に高い遅延が発生するという断続的な問題を修正しました。 CPU高いパケット記述子とパケット バッファその結果、アグレッシブセッションの 1 つまたは数個 TCP は、ACK パケットが原因ですべての記述子キューエントリを受け取ることができます。問題を引き起こしている明確なセッション8.1.10 および 9.0.4
PAN-1166138.0.x
8.1.0-8.1.8
9.0.0-9.0.3
VM- firewall カーネル エラーが原因でパケットがサイレント モードで破棄される Microsoft Azure にデプロイされたシリーズの問題を修正しましたバースト トラフィック時のトラフィックドロップAzure でバスト トラフィックを処理するときのカーネル エラー回避策なし8.1.9 および 9.0.4
PAN-1201948.1.5-8.1.9
9.0.0-9.0.3
(「仮想と M-シリーズ Panorama アプライアンスとログコレクターのみ") 終了した Elasticsearch ( ES ) インデックスがログの受信と再キューを継続して行い、その結果、高い使用率が発生する問題を修正 CPU しました。ログの取り込み失敗と高 CPU月次指数が予想外に終了テクニカルサポートへのお問い合わせ8.1.10 および 9.0.4
PAN-1184078.1.0-8.1.8
9.0.0-9.0.3
バッファ リークによる内部パスの監視エラーが原因で再起動が発生 firewall する問題を修正しました。DP 内部パケット パスの監視エラーによる再起動バッファプールの混乱回避策なし8.1.9 および 9.0.4
PAN-1177208.1.0-8.1.9
9.0.0-9.0.3
("GlobalProtect クライアントレス VPN 環境のみ") プロセス (all_pktproc") が応答を停止し、 firewall クライアントレス トラフィックを処理するときに予期せず再起動する問題を修正 GlobalProtect VPN しました。 この修正プログラムを利用するには、まずクライアント GlobalProtect レス コンテンツ リリース 79 以降にアップグレードする (「デバイス>動的更新」) をアップグレードする必要があります VPN 。DP クラッシュ大きなパケットでクライアントレスパケットを処理する場合 VPN の例外クライアントレスVPNを ( ) に変更 GP SSLVPN
するか、8.1.8 以前にダウングレードする
8.1.10 および 9.0.4
PAN-1139718.1.0-8.1.8
9.0.0-9.0.3
("PA-7000 シリーズファイアウォールのみ") を再起動した後、高速の Chasis 相互接続 ( HSCI ) リンクがフラップする問題を修正しました firewall 。HSCI 羽ばたくシグナルエラーオン SMC 8.1.9 および 9.0.4
PAN-1117088.1.0-8.1.8
9.0.0-9.0.2
("PA-3200 シリーズファイアウォールのみ")データプレーンが予期せず再起動する原因となるまれなソフトウェアの問題を修正しました。 この修正を活用するには、"debug dataplane set pow no-desched yes" コマンドを実行する必要があります CLI (使用率が増加 CPU します)。DP クラッシュPA3200 で使用されている場合に発生する予定の取り下 CPU回避策なし8.1.9 および 9.0.3
PAN-1177298.1.8 のみfirewallコミットを開始した後に、アプリケーションの依存関係に関する警告が正しく表示されない問題を修正しました
(「ポリシー>セキュリティ」)。
コミット時にアプリケーションの依存関係が表示される不完全な修正のため PAN-98386回避策なし8.1.9
PAN-107005PA3200シリーズのみ
8.1.0-8.1.4
9.0.0-9.0.2
モニタ イーサネット PA-3200 トレーラーが外部デバイスによって追加されたときにパケットがドロップされるシリーズ ファイアウォール VSS- の問題を修正しました。L4 チェックサムは VSS 、トレーラーの監視に失敗し、パケットがドロップします。ネットワーク オフロード プロセッサは、その L4 の確認の検証のためにパケットをドロップします。回避策はありません。アップグレード PANOS8.1.5 および 9.0.3
PAN-1128148.1.6-8.1.7 および
9.0.0-9.0.1
予測された H H .245 セッションがアクティブステータスに変換されないために.323 ベースのコールが音声を失い firewall 、.245 トラフィックがドロップする問題を修正 H しました。セッションの失敗を予測する予測セッションが S2C フローによって作成され、ソース NAT である場合、セッションの作成に失敗するソースを使用しない NAT8.1.8 および 9.0.2
PAN-1030238.0.14-8.1.15
8.1.2-8.1.6
コンテンツのインストール (コンテンツ) が firewall 原因で構成エラーが発生し、 が firewall 応答を停止する断続的な問題を修正しました。FQDN オブジェクトは 0.0.0.0 として解決されます。 DPトラフィックの問題を引き起こす.コンテンツインストールジョブに誤った設定が含まれる強制的にコミットするか、または別のリフレッシュを強制 FQDN します。8.0.16、8.1.7および9.0.0
PAN-108241PA-3200 シリーズ/ 8.1.0-8.1.5PA-3200 firewall 複数のデータプレーンプロセス(all_pktproc、flow_mgmt、flow_ctrl、pktlog_forwarding)がトラフィックで過負荷になったときに応答を停止する、シリーズの問題を修正しました。DP クラッシュフローアジェプロセスダブルフリーソフトウェア aho/dfa と pscan を有効にすると、問題が発生する可能性が大幅に低下します。8.1.6 および 9.0.0
PAN-1095948.0.14, 8.1.5 のみIPsec キーの再設定イベントが発生したときにデータプレーンが再起動し、ピアが HA PAN-OS 8.0.14 または 8.1.5 を実行しているときにトンネル プロセス (tund) 障害が発生する問題を修正 PAN-OS しました。DP アップグレード プロセス中にピアのバージョンの不一致の間にタンッド クラッシュが原因で再起動 HA します。DP ペアでikeの再キーによって引き起こされるタンドクラッシュのために再起動 HAピアをアップグレードする前 HA に、アップグレード IKE プロセス中にキー再設定イベントが発生しないように、有効期間を一時的に既定値より長く調整します。 また、 HA ピア間をブレークし、スタンドアロンとして個別にアップグレードすることもできます。8.0.15, 8.1.6
PAN-108785PA3200シリーズ/ 8.1.0-8.1.5firewall HA フェールオーバー後に対応するスイッチ ポートで入力エラーが発生したために、イーサネット 1/1、1/2、および 1/4 で ping テストが応答しなくなったアクティブ/パッシブ構成で断続的な問題が修正 HA されました。フェールオーバー後に送信時に eth1/1,2,4 が破損したパケット HAHA不要な命令を呼び出したフェイルオーバー後のインターフェース初期化ステップインターフェイスを手動で閉じる/閉じない8.1.6 および 9.0.0
PAN-1077918.1.4PAN-OS8.1.3 から 8.1.4 にアップグレードした後 CLI 、2 要素管理者認証が失敗する問題を修正しました。2FA が失敗する2FAのためのソケット処理のバグなし8.1.5 および 9.0.0
PAN-1073658.1.4テンプレートを変更して Panorama M- ターゲット デバイスにプッシュしようとした後、デバイスがプッシュ スコープ選択リストに表示されないシリーズおよび仮想アプライアンス>問題を修正しました(「選択項目>デバイス グループを編集する」>[デバイスへのプッシュ >])。テンプレートにデバイスを指定できませんPHP コードでの例外なし8.1.5
PAN-1072718.1.4PA-3200 firewall PAN-OS HA B HA1-(バックアップ)ポートが期待どおりに起動しなかった構成で、8.1.4を実行しているシリーズの問題を修正しました。HA1B ポートは使用できませんの追加修正 PAN-89402HA1 に他のインターフェイスを使用する8.1.5
PAN-1002448.0.x,8.1.xコミットまたはコミットの検証に失敗した後に、ユーザーがコミットしていないイベント ( FQDN 更新、外部の動的リスト更新、ウイルス対策の更新など) が原因で firewall 、トラフィックをドロップする原因となった構成が予期しない変更になった問題を修正しました。間違った適用によるトラフィックの低下 policy最後の候補cfg.xmlが変更されましたが、コミットが失敗したときには起こるべきではありません。その構成は次の FQDN /更新に関与していました EDLFQDN手動更新またはコミットを実行すると、次の発生まで問題が解決するように見えます。8.0.14,8.1.5
PAN-1006138.0.10-,8.1.2-8.1.4PA-5200 firewall ピア HA ファイアウォールに送信されたセッション セットアップ パケットが HA2/HA3 競合状態として送り返された仮想ワイヤ(vwire)サブインターフェイスを使用する高可用性 () アクティブ/アクティブ構成のシリーズの問題を修正し、パケット記述子の増加とトラフィックの応答停止を引き起こしました。トラフィックは、高いパケット記述子のために断続的に影響を受ける可能性がありますセッション設定の競合状態により、パケット記述子に影響する HA2/HA3 でパケットがループします。最初のパケット/最初のパケットのセッション設定/所有者セット。それ以外の場合は、アクティブ/パッシブ モードを使用します。8.1.5
PAN-1060168.0.x,8.1.xカーネル メモリの PA-800 スパイクによって再起動が発生した Series ファイアウォールの問題 firewall を修正しました。予期しないシステム再起動カーネル メモリの不足なし8.0.14,8.1.5
PAN-1069368.0.x,8.1.xPA-800カーネルエラーにより Series ファイアウォールが断続的に再起動する問題を修正し、問題が発生しました。予期しないシステム再起動シリアルドライバの大量使用は、ウォッチドッグタイムアウトを引き起こしましたなし8.0.14,8.1.5
PAN-104116

8.1.3,8.0.12

hardwareパケット バッファ リークによってパフォーマンスが firewall 低下する問題を修正しました。Hardware パケット バッファの枯渇まれに、パケット hardware バッファは解放されないなし8.1.4,8.0.13

 

PAN-103921

PA-3200 シリーズ/

8.1.0-8.1.3

PA firewall 内部パスの監視エラーによりデータプレーンが故障した 3200 シリーズの問題を修正しました。内部パス・モニターの障害と の間のリンクの通信障害 MP DPなし8.1.4 および 9.0.0
PAN-103442

PA-3200 シリーズ/

8.1.0-8.1.3

PA-3200 firewall 転送情報ベース ( FIB ) が正しく更新されなかったシリーズで断続的に発生する問題を修正し、オフロードされたトラフィックの転送に成功することを防ぎました。オフロードされたトラフィックの一部が正しく転送されません。FIB プログラミング エラーのため、in が DP 正しく更新されないセッション オフロードを無効にする8.1.4 および 9.0.0
PAN-98116

PA-3000 シリーズ /

8.1.0

PA-3000コンテンツ (アプリと脅威) のインストール中にデータプレーン ("pan_comm") プロセスで、一連のファイアウォールがファイル記述子を渡す問題と FQDNRefresh ジョブの実行により、 hardware レイヤ 7 エンジンがアプリケーションを正しく識別しない問題を修正しました。App- ID (L7プロセス)が動作を停止

 DP クラッシュ

pan_commのコミットを担当するプロセスにおけるファイル記述子のリーク DPなし

8.1.3

 PAN-99212

8.0.10-8.0.11

, 8.1.0

firewallパケットが誤ってドロップ ARP され、"flow_arp_throttle" カウンタが増加する問題を修正しました。 ARP 動作しない /トラフィック停止ARP パケット調整機能は誤って検査された arp の数をカウントし、ARP パケットをドロップしますなし 

8.0.12 と8.1.3

 PAN-98397

 PA-3200 シリーズ/

8.1.0

PA-3200一連のファイアウォールで、オフロード プロセッサがルート削除更新メッセージを処理しなかった場合に、古いルート エントリが残され、セッション オフロード ステージ中にセッションが応答しなくなる問題を修正しました。オフロード チップのルーティング テーブルの問題によるパケット ドロップFIB オフロード チップ(FE100)は、ルートの削除後に正しく更新されていませんセッション・オフロードの無効化8.1.3
PAN-94912

PA-5200 シリーズ/

8.0.0-8.0.9

8.1.0-6.1.1

PA-5200 PA-3200 アクティブ/アクティブ高可用性 ( ) 構成の Series および Series ファイアウォールが HA 、仮想ワイヤ展開で間違った方向にパケットを送信する問題を修正しました。 

MAC 羽ばたきは、ネイグアワースイッチで起こります。

トラフィックの中断が発生する可能性がある

ha Active-Active vwire の場合、デバイスが ha3 リンクを介してパケットを転送する場合。場合によっては、ヘッダー情報が正しく設定され、その結果、そのようなパケットはローカルで HA 転送されるのではなく、ピアに転送されます。いずれかのケース (00810651) で、セッション・オフロードを使用不可にすることで問題が解決しました。8.0.10 および 8.1.2
PAN-90890

8.0.0-8.0.9

8.1.0

ID ID Manager ( ) NT LAN が有効になっている複数のユーザー エージェントに仮想システムが接続されている場合に、User-プロセス (「useridd」) が応答しなくなった問題 NTLM を修正しました。

useridd プロセスクラッシュ/

Useridd ハイファイルディスクリプタ/Useridd

不安定

接続状態のメモリ破損各 vsys で有効になっているユーザー ID エージェントを 1 つだけ設定 NTLM します。

8.0.10 と6.1.1

PAN-93839

PAN-3000シリーズと PAN- 5000シリーズ

/

8.0.0-8.0.9

8.1.0

メモリ不足の状態が原因で、プロセスが断続的に firewall 再起動され続ける原因となったため、管理者がログインできなかった問題を修正 firewall しました。 PAN-90143 PAN-OS (8.0.9 では、メモリ不足イベントの頻度を減らす初期メモリの機能拡張が提供されました)。

カーネルのメモリが低 MP いと、管理者ログイン障害などのシステムの不安定性が高ま

/ メモリ不足 MP

PANOS8.x/9.x 上の Linux カーネルは、メインストリーム Linux で修正されるメモリ リークを持っています。 メインストリーム linux カーネルからパッチを移植します。再起動システム

8.0.10 と6.1.1

PAN-799898.0.0-8.0.8「脅威データベースハンドラが失敗しました」というエラーが発生し、メモリ不足の状態が断続的にコミットまたはコンテンツのインストールに失敗した場合に、カスタム署名が設定されたファイアウォールの問題を修正。コミット失敗devsrvr は、commit 中にコンテンツをコンパイルするために、fork () システムコールを使用して子プロセス (tdb_compile) を生成します。 空きメモリが少ない場合、この fork () 呼び出しは失敗し、コミットまたはコンテンツのインストールが失敗します。再起動システム8.1.0、8.0.9
PAN-90143

PA-5000 シリーズ/

8.0.0-8.0.8 と8.1.0

メモリ不足の状態が原因でプロセスが断続的に再起動されるため、管理者が断続的ににログインできなかった問題 firewall を修正しました。システムの安定性/システムが応答しないカーネルトラッキングメモリは絶えず減少しています。 ページ移動を無効にしてカーネル設定を変更すると、ドロップが停止する可能性があります。再起動システム8.0.9、
PAN-92268

PA-7000,PA5200,PA3200シリーズ/

7.1.0-7.1.16 と 8.0.0-8.0.8

PA-7000 PA-5200 PA-3200 デバイスまたはネットワーク設定の変更をコミット中、またはコンテンツの更新をインストール中に、複数の操作コマンドを実行したときに(任意のユーザー firewall インターフェイスまたは管理サーバーから)、1 つ以上のデータプレーンがトラフィックを通過しなかったシリーズ、シリーズ、およびシリーズ Panorama のファイアウォールの問題を修正しました。

トラフィックドロップミス-Pancomm のプログラミング間違ったバイパスキュー id を使用するこれが発生した場合は、別のコミットを行います。

8.1.0 ,8.0.9

と7.1.17、

PAN-92564

8.0.0-8.0-8, 8.1.0

 FSFP firewall SF が PAN-OS [8.0 | 8.1] リリースに接続されているバージョンをアップグレードした後、書き込み可能なサードパーティ製トランシーバ (パロアルトネットワークス®から購入されていない) のごく一部が動作しなくなったり、他の問題が発生したりした問題を修正しました。 この修正プログラムを使用すると firewall PAN-OS 、[8.0 | 8.1] ベース イメージをダウンロードしてインストールするまで[8.0 | 8.1] をインストールした後に PAN-OS 再起動|8.1.x] リリース。 ファイアウォールのアップグレードに関するその他の詳細、アップグレードに関する考慮事項、および手順については PAN-OS 、8.1 のアップグレード情報を参照してください。サポートされていない SFP 動作停止 SDK I2C 読み取りエラーが挿入されました。 これは、パノス8.0、(および初期 8.1.0) この I2C バスドライバは、デバイスのプロトコルシーケンスにコントローラを台無しに、読み取り機能でこの論理エラーを持っていることが原因。サポートされている使用 SFP

8.0.9、

PAN-89718

PA-7000シリーズ

/

8.0.0-8.0.7

そして、すべての古い Mainlines

PA-7000インターフェイスの初期化によりブートアップ中に "brdagent" プロセスが応答しなくなったため、Series ファイアウォールが継続的にリブートする問題を修正しました HSCI 。Firewall 再起動

FPP brdagentは素晴らしいPHYを初期化することに縛られており、ハートビートに応答することはできません。 結果として、それは masterd によって殺される

HSCI HSCI QSFP 再起動中にポートを無効にするか、+ モジュールを削除する

8.1.0、8.0.8

PAN-86882

8.0.0-8.0.7

そして、すべての古い Mainlines

カスタム カテゴリの firewall URL (「カスタム オブジェクト >>のオブジェクト」) またはフィルタリング プロファイルの "許可リスト" (「フィルタ > リング プロファイルのフィルター処理の許可 URL URL リスト」)(「> > フィルタ リング プロファイル> >オーバーライド」) の区切り記号として、ネストされたワイルドカード ("*" ) を使用した後に、データプレーンが応答しなくなった問題 URL URL を修正 URL- しました。 この修正により、このような場合に、ファイアウォールでネストされたワイルドカードを使用することはできません。 詳細については、「NESTED WILDCARD(*) 」を IN URLS MAY SEVERELY AFFECT PERFORMANCE参照してください。DP カスタムルックアップによるクラッシュと再起動 URL

URLネストされたアスタリスクを使用したカスタム カテゴリの構成ミスにより DP 、CPU の高負荷が発生する

注: 修正は、追加の構成チェックを防ぐためです

構成で使用するアスタリスクの数を少なくします。詳細については、説明のリンクを参照してください。

8.1.0、8.0.8

PAN-836878.0.0-8.0.6Panorama M- 「コミットとプッシュ」操作中に「configd」プロセスが応答を停止したシリーズアプライアンスの問題を修正 Panorama >、コレクターグループに設定変更をプッシュしました。

構成済みクラッシュ

 

コミット中に、コレクター設定の下のテーブルのデータ構造が破棄されます。Panoramaコミットとコレクタグループのプッシュを同時に行わない。8.1.0、8.0.7
PAN-85938

8.0.0-8.0.6

7.1.0-7.1.13

PAN-OS IP 内部ゲートウェイにログインしたエンドユーザーのアドレスとユーザー名のマッピングが GlobalProtect 、そのゲートウェイからログアウトしてから 1 秒以内に削除される問題を修正しました。

ユーザー ip マッピング情報が正しく生成されないグローバル保護ログアウト/ログインイベントが同じ秒で発生した場合、user-idinは firewall タイムスタンプ(第2の粒度)を使用してそれらを区別するため、これらのイベントのシーケンスを決定できません。

回避策はありません

8.0.7、7.1.14
PAN-82125

PA-5000シリーズ

/

8.0.0-8.0.6

firewall8.0へのアップグレード後に管理プレーンまたはコントロールプレーンが継続的に再起動 PAN-OS し、次のエラーメッセージが表示される問題を修正しました:「rcu_sched CPU/タスクで停止が検出されました」。

連続 / MP CP 再起動SFPバスを保持し、i2cコントローラのリセットが完了できない原因となるモジュールによるi2cの問題。

サポートされている使用 SFP 

8.1.0、8.0.7

PAN-82273

8.0.0-8.0.5、

7.1.6-7.1.13

復号化ルールを強制するためにプロキシ セッションをブロックすると policy パケット バッファの枯渇が発生し、最終的にパケット損失が発生する問題を修正しました。

Hardware によって処理されるあらゆるタイプのトラフィックに影響を与える可能性のあるバッファ リークの問題 DP非 RST policy 復号ルールと組み合わせて-強制(拒否されたトラフィック)の一部として生成されたパケットによるパケットバッファのリーク

 

 

1. SSL の非復号ルールで、復号プロファイルで「復号化なし」からアクションを削除します。

OR

2. policy ルールを削除するルールを変更する

 

8.0.6、7.1.14

PAN-84545 

PA-800 シリーズ

/

8.0.0-8.0.5

PA-800再起動するまでシリーズファイアウォールが応答しなくなり、再起動が終了したときに応答を停止したときからログが生成されない問題を修正しました。

 

 

システムが応答しません。 CLIいいえ /コンソール/ping 応答

問題から回復するには手動による再起動が必要

PA-800 は、独自の MDIO カーネルドライバを使用します。 このドライバには、デッドロック状態の原因となっていたバグがありました。

 

 

回避策なし

8.0.6

PAN-82830

PA-5000 シリーズおよび PA-3000 シリーズ

/

8.0.0-8.0.5

PA-5000メモリ不足のシリーズおよび PA-3000 シリーズのファイアウォールが一時的に応答しなくなり、トラフィックの処理が停止し、ログの生成が停止する問題を修正しました。

 

Firewall 「ハング」、および/を介してアクセスすることはできません SSH GUI 。 ログは書き込まれておらず、管理コンソールの出力はありません。

8.0 のメモリフットプリントが大きくなると、問題が発生します。

7.1. x へのダウングレード (これまでの 8.0. x でのみ報告される問題)

 

8.0.6

PAN-81100

などの低メモリプラットフォームPA-200 と、 M-100 主に。他のプラットフォームでも同じ問題が発生する可能性があります。

/

8.0.0-8.0.5

firewall Panorama メモリ リークによって、コミット、更新、コンテンツの更新など、いくつかの操作が失敗する原因となった管理サーバー FQDN 上の問題を修正しました。

 

エラーが発生した場合、またはメモリリークをコミットする: fork () に失敗しました。

/ 症状は、コミットの失敗 GUI 、応答しない、 HA 設定の同期失敗、 MP メモリリーク、デーモンクラッシュ、高 MP CPU .

8.0 では64ビットにアップグレードしました。 したがって、virt と res メモリの使用量はわずかに上がるでしょう。

 

M-100では、32 GB メモリにアップグレードすると、発生が大幅に減少します。

PA-200その他のプラットフォームの場合、7.1.x へのダウングレードの短い回避策はありません。

 

8.0.6

PAN-78718

PA-7000 シリーズ付き Panorama

/

8.0.0-8.0.5

7.1.0-7.1.12、7.0.0-7.0.18

PA7050 ロギングが停止する / Logrcvr がクラッシュする PA-7050LPC Panorama8.0 以降の管理サーバーを実行した後、メモリ リークが原因で新しいログの保存と表示を停止しました PAN-OS

この問題は FW 、7.x リリースを実行している 7K で発生します Panorama 。

FW メモリ GTP リークの原因となるレポート定義の処理に失敗します。

 

 

 

Panorama8.0 以降の設定を実行 CLI した場合:

deviceconfig 設定の設定管理の無効定義済みレポート [ gtp-spoofed-end-ip-gtp-malicious - wildfire -submissions top-gtp-攻撃者 top-gtp-victimss ユーザー - 訪問 - 悪意のある URL ]

 

8.0.6、7.1.13、7.0.19

PAN-82095

説明に記載されているすべてのソフトウェア QoS プラットフォーム

/

8.0.0 8.0.5

7.1.0 7.1.14

PA-3000 PA-800 PA-500 PA-220 PA-200 VM- 「出力最大」が 0Mbps または 1143 Mbps を超える QoS プロファイルを使用するように設定されたインターフェイスで QoS スループットが低下するシリーズ、シリーズ、、およびシリーズ の各ファイアウォールの問題を修正しました(「ネットワーク > ネットワーク プロファイル> QoS プロファイル」)。

QoS は、設定されたトラフィックよりも少ない最大帯域幅を適用します。コーディングエラーリミティングバルブ最大1Gbps

 

1143Mbit/s 以下の QoS 帯域幅を下げ、ダウングレード<=7.1.10 and/or=""></=7.1.10><=8.0.3></=8.0.3>

 

8.0.6、7.1.14

PAN-82275

VM-シリーズ

/

8.0.0 を 8.0.4
VM sereis: トラフィックがドロップされ、トラフィックがflow_qos_pkt_timeoutのためにドロップされる82 日後 QoS パケットをデキューできません。

QoS タイマー変数は正しくリセットされませんでした。

QoS の設定を無効にします。

 

8.0.5

PAN-81590

PA-5200 シリーズ

/

8.0.0から 8.0.4
との間の内部リンクの不安定性 DP CE (コンテンツエンジン)5200 のプラットフォームに影響します。 システムは、init に障害が発生しても起動を続けることができます CE 。 これにより、レイヤ7検査や HA パスモニタ等

のコントロールプレーンコンソール出力に問題が発生.log次のエラーが表示されます:

nac0: メモリチャンネルが不完全です
 

これは、イン DP CE
プローブドリンクinitと回復メカニズムとの間の内部リンクの問題です

 

ソフトウェア aho と dfa を使用します。

デバッグデータプレーンfpgaセットsw_aho>はい
>デバッグデータプレーンfPGAセットsw_dfaはい

 

8.0.5

PAN-81990

PA-5220,PA-5250

/

8.0.4
DPall_pktprocによる複数の再起動DP 8.0.4 でメモリ プールサイズが小さいため、クラッシュします。 でしか見 PA-5220 られない PA-5250 . 同じ原因で、 GP 接続 GlobalProtect のドロップや復号などの他の現象が SSL 発生する可能性があります。

影響を受けるプラットフォーム上のメモリ プールのサイズを固定

 

または 以外の他のプラットフォーム PA-5220 を使用 PA-5250 します。 または、8.0.3 にダウン グレードします。

 

8.0.5

PAN-78572

M-シリーズ

/

8.0.0から 8.0.4
シリーズのログの高いメモリ M-典型的な症状:
-トラフィックと脅威ログが Panorama 24時間遅れました。
-Oom カーネルクラッシュ
- コミット失敗
- メモリ割り当て失敗

Evtmgr キュー内のメッセージのインデックス作成のための構築を開始します。 これはポートログと起動することができないインデックス作成プロセスの結果のメモリの増強を引き起こします。

回避策はありません。

 

8.0.5

PAN-80445

M-シリーズ

/

8.0.0から 8.0.3
シリーズのメモリ リークの報告 M-実行するまでに、場合と変わらなかったメモリが増加します。 パフォーマンスの低下または管理する能力の損失を引き起こす可能性が。

報告されたメモリ リークは M- 、コンボ モードのシリーズでのみ発生します。

場合と変わらなかったプロセスで様々 なメモリリークを修正

 

コンボ モードを使用しないでください。 専用のログ コレクターを使用します。

 

8.0.4

PAN-74655

プラットフォーム固有ではない

/

7.0.x 以前、7.1.x
DP CPU高urlcache_lookup処理時間の高DP高い使用率と一般的なトラフィックの低速性がフィルタリングによって引き起こされる URL 。 Urlcache 関連関数の処理時間の「デバッグ データ プレーン ・捕虜パフォーマンス」を行く

URLキャッシュ内のキャッシュが 100 万を超える URL MP を取得し、デバイス サーバーが高い CPU を消費している場合にキャッシュに関する問題。 DP また、 CPU ローカルキャッシュが大きく成長をルックアップするために高く消費

 

クリア DP と MP キャッシュ:

>クリア url キャッシュすべて

>urlデータベースをすべて削除します

 

PAN-DB クラウド更新プログラムは

PANOS 、6.1.18、7.0.16 および 7.1.10 で修正 2017 3 月/2017 の修正があります。

 



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm68CAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language